Klient banku dał się oszukać na „dopłatę” do paczki — czy to oznacza rażące niedbalstwo?

przez

Czy ofiara phishingu, której pieniądze zniknęły z konta bankowego, bo dała się nabrać na oszustwo na „dopłatę do paczki” popełniła rażące niedbalstwo, przez co nie może domagać się zwrotu tej kwoty przez bank? Czy dowodem rażącego niedbalstwa będzie przekonanie, że bank może linkować do swojego serwisu via serwis tinyurl.com? Czy jednak przypisanie komuś rażącego niedbalstwa wymaga udowodnienia, że jest kompletną fujarą — a jeśli bank wykrywa fraud i blokuje konto, ale mimo to pozwala na wyprowadzenie pieniędzy z konta, to może sam jest fujarą nie lada? (wyrok Sądu Okręgowego w Piotrkowie Trybunalskim z 8 lipca 2024 r., II Ca 361/24).

oszustwo dopłatę paczki rażące niedbalstwo
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

To kolejne orzeczenie dotyczące odpowiedzialności dostawcy usługi płatniczej za wykonanie operacji wyklikane przez klienta — która mimo to została uznana za transakcję nieautoryzowaną w rozumieniu przepisów.

opis stanu faktycznego:

  • sprawa dotyczyła klienta banku; zgodnie z warunkami świadczenia usług wszystkie transakcje poniżej kwoty 3 tys. zł nie wymagały autoryzacji w jakiejkolwiek formie, te powyżej podlegały autoryzacji m.in. poprzez aplikację zainstalowaną na „zaufanym urządzeniu mobilnym” (takim, któremu bank nadał numer ID i powiązał z aplikacją) lub esemesem;
  • w pewnym momencie klient dostał informację, iż jego paczka została zablokowana ze względu konieczność dopłacenia 2,50 zł, wraz z linkiem;
  • a ponieważ czekał na kilka przesyłek, kliknął w odnośnik (tinyurl.com), po czym wyświetliła mu się strona jego banku (nie tylko z „kłódeczką”, ale też z jego indywidualnym „obrazkiem potwierdzającym”), a po zalogowaniu potwierdził dodanie kolejnego urządzenia jako zaufanego (przy czym esemes potwierdzający w żaden sposób nie opisywał owego urządzenia);
  • kilka chwil później przyszła wiadomość o zablokowaniu konta ze względów bezpieczeństwa — po czym się okazało, że z jego rachunku BLIK-kiem wyprowadzono 9,8 tys. zł (przy czym ta operacja została jeszcze „przeprana” przez jakaś platformę sprzedażową);
  • zaś po tym jak policja umorzyła postępowanie ze względu na niewykrycie sprawców, a bank odmówił uwzględnienia reklamacji, do sądu trafił pozew przeciwko bankowi o zwrot pieniędzy;

art. 45 ust. 1 i 2 ustawy o usługach płatniczych
1. Na dostawcy użytkownika spoczywa ciężar udowodnienia, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie służącym do obsługi transakcji płatniczych dostawcy oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka związana z usługą płatniczą świadczoną przez tego dostawcę, w tym dostawcę świadczącego usługę inicjowania transakcji płatniczej.
2. Wykazanie przez dostawcę zarejestrowanego użycia instrumentu płatniczego nie jest wystarczające do udowodnienia, że transakcja płatnicza została przez użytkownika autoryzowana albo że płatnik umyślnie albo wskutek rażącego niedbalstwa doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie albo wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Ciężar udowodnienia tych okoliczności spoczywa na dostawcy.

art. 355 par. 1 kodeksu cywilnego
Dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność).

  • zdaniem banku jego odpowiedzialność wyłącza rażące niedbalstwo klienta w korzystaniu z bankowości elektronicznej, a jak inaczej nazwać zaakceptowanie dodania kolejnego urządzenia zaufanego przez osobę, która wie, że chciała tylko wykonać przelew;
  • co więcej doszło do błędnego tłumaczenia dyrektywy, przez co rozszerzono odpowiedzialność dostawców wbrew intencjom prawodawcy unijnego;

orzeczenie sądu:

  • sąd przypomniał, że umowa rachunku bankowego polega na tym, że bank przechowują pieniądze posiadacza staje się ich właścicielem, acz ma obowiązek ich zwrotu na żądanie lub po wypowiedzeniu;
  • natomiast zgodnie z ustawą o usługach płatniczych dostawca ma prawo wykonać zleconą transakcję tylko w przypadku jej prawidłowej autoryzacji przez klienta, a także ciąży na nim obowiązek zapewnienia, że indywidualne zabezpieczenia nie są dostępne dla innych osób;

Zapewnienie bezpieczeństwa depozytów jest jednym z najistotniejszych obowiązków banku, a sposób jego wykonywania jest najbardziej wymierną podstawą oceny jego wiarygodności, w związku z czym wszelkie próby interpretacji przez banki postanowień zawartych w stosowanych przez nie wzorcach umownych, zmierzające do zaniżania standardów bezpieczeństwa powierzonych bankowi środków pieniężnych, powinny być oceniane jako zachowania sprzeczne z dobrymi obyczajami i celem umowy rachunku bankowego.

  • powinnością użytkownika jest natomiast zachowania środków niezbędnych do zapobieżenia naruszenia indywidualnych danych uwierzytelniających (np. loginu i hasła);
  • w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca ma obowiązek niezwłocznie zwrócić klientowi pełną kwotę; ciężar dowodu w tym zakresie spoczywa na dostawcy, zarazem dowodem nie może być okoliczność, iż klient użył instrumentu płatniczego;
  • nie ma przy tym racji bank, że błąd w tłumaczeniu (’authorised’’ / 'authenticated’) zwalnia go z odpowiedzialności za nieautoryzowaną operację: dyrektywa PSD2 określa tylko minimum ochrony konsumenta, zaś prawo krajowe może zakres tej ochrony rozszerzyć, nakładając na dostawców usług bardziej rygorystyczne obowiązki;
  • tak czy inaczej ocena zaniedbania użytkownika wynika z prawa krajowego, które określa rodzaje winy; rażące niedbalstwo jest kwalifikowaną formą winy umyślnej, która opiera się na pojęciu zwykłej staranności w ocenie skutków swego zachowania; do przypisania rażącego niedbalstwa

konieczne jest stwierdzenie, że podmiot, któremu taką postać winy chce się przypisać, zaniedbał takiej czynności zachowującej chronione dobro przed zajściem zdarzenia powodującego szkodę, której niedopełnienie byłoby czymś absolutnie oczywistym w świetle doświadczenia życiowego dostępnego każdemu przeciętnemu uczestnikowi obrotu prawnego i w sposób wprost dla każdego przewidywalny mogło doprowadzić do powstania szkody. Rażące niedbalstwo zachodzi bowiem tylko wtedy, gdy stopień naganności postępowania drastycznie odbiega od modelu właściwego w danych warunkach zachowania się dłużnika.

  • rażące niedbalstwo to coś zgoła innego niż niedochowanie należytej, a tym bardziej podwyższonej starannościrażące niedbalstwo to niedochowanie jakiejkolwiek, wręcz elementarnej staranności, której można wymagać od „każdej, nawet niezbyt rozsądnej (rozgarniętej) osoby”;
  • biorąc pod uwagę taką interpretację sąd prawomocnie… uwzględnił roszczenia: do zdarzenia doszło w listopadzie 2022 r., kiedy mało kto słyszał o wyłudzeniach „na paczkę”, owszem, takie cyberprzestępstwa zaczęły się wówczas pojawiać, a bank przestrzegał swych klientów o podszywaniu się oszustów — ale sytuacja, w której człowiek czeka na zamówioną przesyłkę, po czym dostaje informację o jej wstrzymaniu do momentu dopłacenia kilku złotych nie oznacza rażącego niedbalstwa;
  • (i tu argumentacja: że może informatyk będzie wiedział, że odnośnik tinyurl.com jest podejrzany w kontekście bankowości, że strona do logowania wyglądała jak strona banku, że zgadzał się obrazek weryfikacyjny — że klient bardzo rzadko robił przelewy przez telefon, więc tym bardziej mógł być zmylony — że ten bank nie informował jakie to urządzenie jest dodawane do zweryfikowanych (a sąd z własnego doświadczenia wie, że inne banki tak robią), więc osoba logująca się z telefonu marki A. zauważyłaby, że coś się nie zgadza)…
  • …ale to nie wszystko, bo chociaż bank automatycznie wykrył fraud i zablokował konto, to mimo to pieniądze zostały przez oszusta wyprowadzone — ale też bank widział, że środki trafiły do innego serwisu, ale nie zawiadomił tamtego serwisu (a przecież jest „wiedzą powszechnie znaną jest, że serwis (…) nie przekazuje środków na rzecz sprzedawców automatycznie, a dopiero po weryfikacji„);

Skoro pozwany Bank dysponował oprogramowaniem, które wykryło fraudowy charakter transakcji, to nie sposób zrozumieć, dlaczego blokada rachunku nastąpiła PO przelaniu środków, a nie PRZED. 

Sumarycznie sąd uznał, iż chociaż zachowanie klienta było „nierozważne i niefrasobliwe”, powinien on bowiem wykazać się większą czujnością — fakt, że miało miejsce skuteczne oszustwo na dopłatę do paczki nie oznacza ani rażącego niedbalstwa, ani nawet przyczynienia się do powstania szkody. Nie ma też wątpliwości, że jego zamiarem nie było autoryzowanie tej transakcji, tj. dodanie jako urządzenia zaufanego sprzętu należącego do phishera i umożliwienie wyprowadzenia pieniędzy z jego rachunku — a więc bank musi mu zwrócić całość pieniędzy.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

15 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
15
0
komentarze są tam :-)x